『これらの結果が及ぼす影響の大きさは,人によって異なる。暗号研究者にとっては極めて大きな出来事だ。革新的とまでは言えなくても,暗号分野においては確かな進歩である。衝突を見つけた研究者の手法はほかの用途にも使えるだろう。最終的には,より安全なシステムの設計に役立つ。暗号分野の研究は,このようにして進歩してきた。つまり,ほかのアルゴリズムを破ることで新たなアルゴリズムを設計する手法を学ぶのである。さらに,NSAのアルゴリズムには何らかの異なる技術が使われているはずだ。こうした技術は,非公開の研究活動で生み出される。NSAのアルゴリズムが解読できれば,「NSAの暗号技術がどの程度優れているのか」という永遠の疑問を解く大きな手がかりになる。』
平均的なインターネット・ユーザーは,「ハッシュ関数の衝突が見つかった」という今回のニュースについて,それほど心配する必要はない。電子署名がすぐに破られたり,暗号化メッセージが読まれたりするようなことにはならない。このニュースによって,電脳世界の安全性が低下したわけではない。
しかしNSAの内部では昔から「攻撃は常に進歩する。後退することはない」と言われてきた。今回の手法が,以前公表されたSHA-1,SHA-0,MD4およびMD5の簡易版に対する攻撃手法に基づいているのと同様に,ほかの研究者は今回の手法をベースに,新たな攻撃手法を開発するだろう。また別の研究者は,そうした情報を参考にして,より高速な手法や最適化などを編み出す。SHA-1に対する攻撃の改良は今後も続く。加えて,ムーアの法則は今後も有効なので,既存の攻撃手法は高速化し,実用性が増していくだろう。
米PGP最高技術責任者(CTO)のJon Callas氏は,この状況をうまく表現した――「そろそろ動き出す時だ。だからといって,非常口に向かって走ってはいけない。火災報知器は鳴り始めたが,今のところ煙は出ていない」。Jon Callas氏の発言は,私の過去記事の趣旨と基本的に同じだ。
『SHA-1以外のアルゴリズムに移行すべき時期が来ている。 』
『幸いなことに,代替手段はいくつもある。これまで米国立標準技術研究所(NIST)は,ビット長がより長い――つまり,破られにくい――SHA-224やSHA-256,SHA-384,SHA-512などを標準のハッシュ関数として採用してきた。これらは既に米国政府標準として指定されており,もう使える状態にある。これでも当座の間に合わせには十分だが,NISTにはもっとがんばってもらいたい。 』
『NISTには,新たなハッシュ関数を募る世界規模のコンテストを開催してほしいのだ。ちょうど,DESの代替として新しい暗号アルゴリズムAESを募集したときのように。ハッシュ関数のアルゴリズムを募集し,暗号コミュニティが実施する一連の分析作業を指揮してほしい。新しい標準策定を願うコミュニティは,さまざまな候補アルゴリズムを喜んで解析するだろう。 』
『現在利用可能なほとんどのハッシュ関数と,実際に普及しているすべてのハッシュ関数が,MD4の原理に基づいている。過去10年間でハッシュ関数はよく研究されたので,こうした研究成果はより安全なハッシュ関数の開発に役立てられるだろう。 』
ハッシュ関数は暗号化処理において最も認知度が低く,開発に注がれるリソースも暗号化手法そのものより相当少ない。だが,ハッシュ処理について驚くような研究成果が定期的に生まれている。ここにJohn Kelsey氏の論文がある。あるメッセージと同じSHA-1ハッシュ値を持つ別のメッセージ(Second Preimage)を,2の106乗回の演算で見つけるアルゴリズム――SHA-1以外にもほぼすべてのハッシュ関数に適用可能なうえ,2の160乗回の演算を必要とするブルート・フォース攻撃よりずっと少ない手順で済むアルゴリズム――についての論文だ。この攻撃はあくまでも論理的な手法であって実用化にはほど遠いものの,ハッシュについて分からないことがまだたくさんあることを教えてくれる。
2004年9月に書いた私の記事を読み直すと,私がSHA-1解読を予想していたことは明らかだ。しかし,こんなにすぐ解読されるとは思っていなかったし,ここまで見事に解読されるとは考えなかった。中国の暗号研究チームは賞賛に値する成果を出した。我々はSHAの代替手段を探す作業に取りかからなければならない。
中国人研究グループの論文の要約(完全版はまだ公開されていない):
<http://theory.csail.mit.edu/~yiqun/shanote.pdf>(PDF形式)
CRYPTO-GRAMの過去記事:
<http://www.schneier.com/essay-074.html>
SHA-224,SHA-256,SHA-384,SHA-512についてのNIST標準:
<http://csrc.nist.gov/CryptoToolkit/tkhash.html>
Second Preimageに関する私の論文:
<http://eprint.iacr.org/2004/304>
ハッシュ関数に関するそのほかのニュース:
同じMD5ハッシュ値を持つ二つのX-509証明書:
<http://www.win.tue.nl/~bdeweger/CollidingCertificates/>
MD5衝突発見の高速化(動作周波数1.6GHzのコンピュータで8時間):
<http://cryptography.hyperlink.cz/md5/MD5_collisions.pdf>(PDF形式)
Copyright (c) 2005 by Bruce Schneier.
◆オリジナル記事「SHA-1 Broken」
◆「CRYPTO-GRAM March 15, 2005」
◆「CRYPTO-GRAM March 15, 2005」日本語訳ページ
◆「CRYPTO-GRAM」日本語訳のバックナンバー・ページ
◆この記事は,Bruce Schneier氏の許可を得て,同氏が執筆および発行するフリーのニュース・レター「CRYPTO-GRAM」の記事を抜粋して日本語化したものです。
◆オリジナルの記事は,「Crypto-Gram Back Issues」でお読みいただけます。CRYPTO-GRAMの購読は「Crypto-Gram Newsletter」のページから申し込めます。
◆日本語訳のバックナンバーは「Crypto-Gram日本語訳」のページからお読みいただけます。
◆Bruce Schneier氏は米Counterpane Internet Securityの創業者およびCTO(最高技術責任者)です。Counterpane Internet Securityはセキュリティ監視の専業ベンダーであり,国内ではインテックと提携し,監視サービス「EINS/MSS+」を提供しています。
